전체메뉴

[애플경제 전윤미 기자] 최근 산업계에선 IT나 IoT보안 못지않게 OT(Operational technology) 보안의 중요성이 새삼 강조되고 있다. 스마트 시티, 스마트 팩토리 등은 일단 IoT로 연결된 IT기반 아키텍처다. 그러나 이를 구성하는 물리적인 장치나 프로세스, 이벤트를 모니터링하고 제어, 변경을 수행하며 실제로 작동케하는 HW와 SW를 아우른 개념이 OT다. 디지털트윈의 하부구조이자, 모든 스마트 기능의 팔 다리 역할을 하는 셈이다. 이런 OT가 사이버공격에 뚫릴 경우, IoT, AI 기반의 모든 스마트구조와 물리적 시설이 파괴되거나 마비되고 만다.

디지털화 가속도 붙을수록 필요성 커져

이에 사이버공격에 대처할 OT보안 기술과 인력, 시스템이 시급하다는 목소리가 날로 높아가고 있다. 현재 국내에선 이와 관련된 전문 인력자체가 거의 없는 상황이다. 특히 OT보안의 특성상, 기존의 IT 보안 지식을 갖추고, 산업 설비나 네트워크에 대한 보안 지식, 그리고 프로그래밍 지식까지 겸비한 인력은 극히 찾기 힘들다는 지적이다.

이 분야 전문가인 노조미네트웍스 박지용 지사장은 “아직 정부나 학계에서도 OT 보안을 전문적으로 양성하는 곳이 없는 만큼, 적극적인 투자가 절실한 실정”이라고 했다. 그러면 특히 “Industry 4.0, IoT, AI 도입 등 디지털 혁신 드라이브가 가속화될수록 그 필요성이 커지고 있다”고 촉구했다.

최근 정보산업연합회 의뢰로 이에 관한 연구보고서를 작성하기도 한 박 지사장은 “(디지털화는) 국내 산업의 디지털 혁신과 생산성 증대를 이끌기도 하지만, 그럴수록 사이버공격을 할 수 있는 ‘표면’이 크게 늘어날 수 밖에 없다”고 우려했다. 즉, IoT 등에 의해 모든 사물이 연결되기 때문에 그 만큼 공격할 만한 부위가 광범위해진 것이다.

더욱이 사이버보안 기술이 발달한 IT나 IoT 영역과는 달리 IT기반의 물리적 시설이나 장치 등 OT 영역은 그로부터 비껴나있다. 얼마든지 IT망을 우회, 직접적인 공격을 할 수 있는 대상이므로 매우 취약할 수 밖에 없다.

대부분 낡은 시스템, 사이버공격에 취약

OT망은 실제 공장이나 발전소 등의 설비들이 가동되고 있는 곳이다. 그런 만큼 잠시도 가동이 멈추거나 장애를 일으키면 안 된다. 더욱이 디지털트윈 과정에서 최신 설비나 SW를 도입하기 위해 공장을 임시로 폐쇄하거나, 중단할 수도 없는 부위다. 그러다보니 운영환경을 최신화 할 기회를 갖지 못한 채 수십년간 운영을 해온 곳이 많아 사이버 보안에 매우 취약할 수 밖에 없다는 지적이다.

그래서 사이버 공격자들은 방어가 잘되어 있는 IT망보다 취약점이 많은 OT망에 대한 공격을 선호하고 있는 실정이다. 특히 국제정세나 정치․사회적 환경이 혼란스런 틈을 타서 금전을 갈취하기 위해 산업 설비에 대한 랜섬웨어 공격이 많이 일어나고 있다.

실제로 “OT망에 대한 사이버 공격 피해 규모는 IT망에 대한 공격에 비해 훨씬 규모가 크며 인명 살상까지 일어날 수 있다”는 우려다. 지난 수 년 간 세계 각지에서 일어난 대형 사이버공격은 주로 OT망에 대한 공격이었다. 대표적으로 이란 핵시설 공격이나, 사우디 아람코의 정유 설비 공격, 머크사 랜섬웨어 공격, 미국 콜로니얼 파이프라인 마비 사태 등이 그런 경우다. 이들은 피해규모 역시 천문학적이고, 그 중엔 공격 초기엔 그 사실조차 인지하지 못하고 있었던 경우도 많다.

美․EU 등선 입법과 제도로 뒷받침

그러나 ‘IT강국’인 한국이 유독 OT보안에서 만큼은 주요국보다 뒤처진 상황이어서 더욱 우려를 낳고 있다. 대표적으로 미국의 경우 이미 지난 2022년 미 의회 만장일치로 사이버 보안 강화법이 승인되었고, 바이든 대통령이 서명, 발효되었다. 이에 따라 중요 인프라 기업 이나 기관이 사이버 공격을 받으면 72시간 이내에 국토안보부 사이버보안국(CISA)에 보고하도록 했다. 또 랜섬웨어 공격자에게 랜섬을 지불한 때로부터 24시간 이내에 보고해야 한다. 또 미국의 각 기관이나 주별로 다양한 형태의 OT 보안에 대한 사이버보안 규정이 시행되고 있다.

EU 역시 오는 10월부터 시행되는 ‘네트워크 및 정보시스템 지침’(NIS2)이 이를 규정하고 있다. NIS2는 사이버 리스크 관리를 의무화하고, 기업의 회복탄력성과 연속성을 보장하면서 사이버 보안 요구사항을 준수하도록 하고 있다. 또 규제 대상 조직에서 중대한 사고 발생가 발생하면 24시간 내에 조기 경고하고, 72시간 내에 통지하며, 1개월 이내에 최종 보고서를 제출하도록 했다. 이를 위반할 경우 1천만 유로(약 142 억원) 내지 해당 기업이나 조직의 전 세계 총 매출액 2% 중 더 높은 금액을 부과해야 한다.

국내 일부 대기업 도입중, 정부․중소기업 ‘개념조차 없어’

이에 비해 한국에는 OT보안 전문 솔루션이 비교적 최근에 소개된 보안 개념이다. 일부 대기업만이 OT 보안 솔루션을 도입하고 있으나, 아직 체계적인 IT 및 OT에 대한 통합 보안 운영체계는 마련하지 못하고 있다는 지적이다. 특히 앞서 박 지사장은 “대부분의 기업이나 기관의 경영진들은 OT 보안에 대한 개념과 중요성에 대해 인식을 못하고 있다”면서 “IT 보안 분야와 OT 보안 분야는 분명히 다른 영역이므로, 전문적이고 차별화된 대응 전략과 솔루션을 갖추어야 할 것”이라고 짚었다.

이에 이미 글로벌 전문 OT 보안기업들과 컨설팅 회사, SI 기업들, 기존의 IT 보안 회사들이 한국 OT 보안 시장의 중요성을 인식하고 사업화를 시작한 것으로 전해졌다. 일부 국내 글로벌 대기업들도 OT 보안 솔루션을 도입하고 있다. 그러나 정부 기관이나 중소기업들은 이에 대한 개념조차 없거나, 예산과 전문 인력이 부족한 실정이다.

그런 가운데 OT 영역에 대한 사이버 보안 피해 사례는 계속 증가되고 있으나, 그 실태는 거의 공개되고 있지 않다. 이미 국내에서도 산업별로 피해가 이어지고 있음에도 불구하고 이에 대한 국가 차원의 대응책은 없다시피하다는 지적이다. 이에 전문인력 양성과, 이를 위한 교육 시스템, 정부 차원의 적극적 투자 등이 함께 이뤄져야 한다는 목소리다.